Er is weer een ernstig beveiligingslek in Ruby on Rails gedicht, het platform waar ook DigiD op draait. Rails is een open source framework voor het ontwikkelen van webapplicaties voor de Ruby programmeertaal. Volgens minister Plasterk hadden aanvallers via het eerder verholpen lek de DigiD-database kunnen stelen.
Via een special geprepareerde lading kan een aanvaller ervoor zorgen dat de backend een subset van YAML decodeert. Vervolgens kunnen aanvallers de authenticatiesystemen omzeilen, SQL injecteren, willekeurige code uitvoeren of een Denial of Service-aanval tegen de Rails applicatie uitvoeren. De kwetsbaarheid (CVE-2013-0333) is aanwezig in versies: 2.3.x en 3.0.x.
Alles bij de bron; Security